應用於使用者組的 GPO 電腦配置
我目前正在努力解決以下問題:在我們的組織中,我們希望阻止大多數使用者訪問 OneDrive。我在電腦配置中找到了以下 GPO 設置來確定這一點:
Administrative Templates/Windows Components/OneDrive/Prevent the usage of OneDrive for file storage
但是應該允許管理使用 OneDrive,所以我創建了一個包含所有管理使用者的全域安全組,“GRP_ALLOW_ONEDRIVE”。
現在我們有 2 個 OU:一個包含使用者,一個包含電腦。因此,我將此 GPO 連結到 COMPUTERS OU 並在該特定使用者組的安全設置中添加拒絕…
但這似乎不起作用,我應該首先猜到,因為它是電腦配置……
所以基本上我的問題歸結為:
如何在 COMPUTERS OU 中成功創建 GPO 以禁用除例外組中的使用者之外的 OneDrive?管理人員登錄到哪台電腦並不重要,他們應該始終可以訪問 OneDrive。所有其他使用者應該無法啟動 OneDrive,無論他們登錄到哪台電腦。
謝謝!
不幸的是,這是無法做到的。您不能向使用者應用或過濾電腦配置設置。
您可以做的是使用使用者配置設置下的軟體限制策略來阻止 OneDrive 執行檔。然後,您可以針對特定使用者或組過濾此 GPO。
您不能將電腦 GPO 應用於使用者。每個 GPO 的電腦設置都應用於電腦級別,與登錄電腦的使用者無關。電腦使用自己的域電腦帳戶訪問 GPO,因此包含使用者的安全過濾組將首先排除電腦帳戶應用 GPO。拒絕使用者訪問 GPO 的安全組不會阻止電腦帳戶訪問和應用
Computer Configuration
GPO 的一部分。簡而言之:您無法將設置真正匹配
Computer Configuration
到單個使用者。您需要找到一些針對使用者HKEY_CURRENT_USER
禁用的特定於使用者的設置(例如 中的鍵),OneDrive
而不是在電腦上全域禁用。